毫無疑問 WhatsApp 及 Telegram 是目前比較安全的通訊 app,皆因它們具備點對點加密功能,所以在大多數情況下,對話內容都難以被其他人破解。不過有時安全漏洞未必是源自應用程式本身,反而可能是來自其他地方,例如最近有黑客就發現透過 SS7 漏洞,即可以輕易讀取到該兩款 app 的加密訊息。
留意在一般情況下,黑客通常會難以破解通訊 app 的加密訊息,因為其解密的主要關鍵來自對話雙方,所以即使黑客成功在中途攔截到訊息,亦只能獲得無法讀取到的內容,除非擁有解密用的鍵。不過來自海外的 Thomas Fox-Brewster 日前就公開了兩段影片,並顯示他並非針對 WhatsApp 及 Telegram 的加密功能進行破解,反而是從全球電訊營運商廣泛採用的 SS7(Signaling System Number 7)發信系統的漏洞著手,最後成功讀取到相關的加密訊息。
透過 SS7 安全漏洞,Thomas 首先欺騙電訊網絡,令到它以為攻擊者的電話與目標人物的電話號碼一樣。成功之後他再開設一個 WhatsApp 或 Telegram 的帳戶,由於系統會驗證到電話號碼一致,於是他便可取得安全代碼,接著便可完全控制目標人物的帳戶,當中包括收發任何訊息,而透過這種方法就無需直接破解加密系統,相對上看似容易得多。
或者大家會有疑問,既然已經知道是來自 SS7 的安全漏洞,那麼修復這個漏洞豈不是可解決問題?不過原來實際上這並非一件易事,因為 SS7 是一個全球電訊營運組成的發信系統,並未有任何人真正擁有及管理它,而一般來說若想在 SS7 上進行任何改動,事前就必須經過相當繁瑣的過程,所以即使一早被人發現到,該漏洞至今亦依然存在,除非電訊營運組肯聯手合作解決這個問題,否則該漏洞短期內應該難以修復。
來源:YouTube